Patch Now: Linux, cPanel, Gemini RCE ameacas.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

A edição de 1º de maio de 2026 do SANS NewsBites chega com três vulnerabilidades que exigem ação imediata: uma escalação de privilégio no kernel Linux que afeta praticamente todas as distribuições desde 2017, um bypass de autenticação crítico no cPanel que expõe mais de 1,5 milhão de instâncias, e uma falha de RCE CVSS 10.0 no Gemini CLI da Google. Abaixo, os detalhes técnicos.

Patch e Mitigação Agora: Linux Kernel Vulnerável a Escalação de Privilégio (CVE-2026-31431)

A Theori divulgou um exploit proof-of-concept para uma falha de alta gravidade no kernel Linux que afeta a maioria das distribuições desde 2017. O CVE-2026-31431 (CVSS 7.8) permite que um atacante local sem privilégios escale para root usando um script Python de dez linhas para “disparar uma escrita determinística e controlada de 4 bytes no page cache de qualquer arquivo legível no sistema”, o que pode incluir a modificação de um binário setuid.

O pesquisador Taeyang Lee descobriu a vulnerabilidade com assistência da ferramenta de IA Xint Code da Theori, enquanto estudava “como o subsistema de criptografia do Linux interage com dados backed by page-cache”. Patches foram commitados no kernel mainline em 1º de abril, mas a divulgação pública ocorreu antes que muitas distribuições pudessem corrigir a falha — várias distribuições importantes ainda não têm patches disponíveis.

Ação imediata: Consulte os advisories da sua distribuição. Priorize nós Kubernetes e runners CI/CD. Mitigações temporárias incluem desabilitar o módulo algif_aead e bloquear a criação de sockets AF_ALG via seccomp. O suporte a AF_ALG foi introduzido no kernel 2.6.38 — se você está rodando kernel 4.14 (novembro de 2017) ou superior, está em risco.

Patch Agora: cPanel e WHM — Bypass de Autenticação Crítico (CVE-2026-41940)

A cPanel divulgou patches para uma falha crítica (CVSS 9.8) que afeta todas as versões suportadas do cPanel e WHM desde a versão 11.40. O CVE-2026-41940 permite que um atacante remoto não autenticado obtenha acesso ao painel de controle usando injeção CRLF para bypassar a autenticação. A falha também afeta o WP Squared.

Segundo a Watchtowr, cPanel e WHM são usados em mais de 70 milhões de domínios; o Shodan da Rapid7 indica cerca de 1,5 milhão de instâncias vulneráveis expostas à internet. A CISA adicionou a falha ao KEV em 30 de abril, com prazo de mitigação em 3 de maio. A Namecheap respondeu imediatamente bloqueando portas 2083 e 2087 via firewall. Versões corrigidas incluem 11.86.0.41, 11.110.0.97, entre outras. Se a atualização não puder ser aplicada, bloqueie as portas 2083, 2087, 2095 e 2096 no firewall.

Gemini CLI: RCE CVSS 10.0 — Confiança Automática em Workspace

A Google corrigiu uma falha de gravidade máxima no Gemini CLI e na GitHub Action run-gemini-cli. A Novee Security, que divulgou o problema, afirma que a vulnerabilidade permite que um atacante remoto execute comandos no sistema host ao plantar uma configuração maliciosa no workspace de um repositório, aproveitando a confiança automática do Gemini CLI no diretório de trabalho atual ao rodar em modo headless. O agente agia no arquivo “sem revisão, sandboxing ou aprovação humana”.

A correção da Google exige trust explícito de pastas antes que arquivos de configuração sejam processados. Pipelines que incluem GitHub Actions “falharão ao carregar configurações específicas do workspace até que sejam atualizados para usar mecanismos de trust explícitos”. Usuários cujos workflows rodam em entradas confiáveis devem definir GEMINI_TRUST_WORKSPACE como ‘true’.

O editor John Pescatore comentou: “A frase ‘confiança automática’ nunca deveria ser encontrada quando envolve ingestão de dados por IA ou ‘aprendizado’.” A lição é clara: agentes de IA que operam em modo autônomo precisam de controles granulares de permissão e sandboxing — especialmente em pipelines CI/CD.

Três Vulnerabilidades no SonicOS — Firewalls Gen6, Gen7 e Gen8

A SonicWall lançou atualizações de firmware para três vulnerabilidades no SonicOS: CVE-2026-0204 (controle de acesso impróprio, alta), CVE-2026-0205 (path traversal pós-autenticação, média) e CVE-2026-0206 (stack-based buffer overflow pós-autenticação, média). A SonicWall recomenda desabilitar completamente o gerenciamento de firewall baseado em HTTP/HTTPS e SSLVPN em todas as interfaces se a atualização não puder ser aplicada imediatamente, restringindo o acesso administrativo a SSH apenas.

GRASSMARLIN: Ferramenta de Mapeamento ICS da NSA Está Vulnerável

Uma ferramenta open source construída pela NSA para mapeamento de arquitetura de redes ICS/SCADA está vulnerável a exposição de informações. O CVE-2026-6807 (CVSS 5.5) permite que um atacante exponha informações sensíveis através de dados de sessão manipulados que disparam manipulação imprópria de XML. A falha não será corrigida porque o GRASSMARLIN atingiu fim de vida (EoL) em 2017. A CISA recomenda isolar, substituir ou conter a ferramenta — e não expor sistemas de controle à internet.

Microsoft Deprecia TLS 1.0 e 1.1 no Exchange Online

A Microsoft anunciou a depreciação completa do TLS 1.0 e 1.1 para conexões POP3 e IMAP4 ao Exchange Online a partir de julho de 2026. A Microsoft encerrou o suporte a essas versões em 2020 e começou a bloqueá-las no início de 2023, permitindo opt-in. A partir de julho, o bloqueio será total. Afetados devem garantir que clientes de e-mail, aplicativos e bibliotecas suportem TLS 1.2 ou superior.

Chrome 147 e Firefox 150.0.1 Atualizados

Google Chrome 147 inclui correções para 30 falhas, incluindo quatro use-after-free críticos. Firefox 150.0.1 inclui correções para quatro problemas, incluindo três bugs de segurança de memória críticos/altos e uma vulnerabilidade de divulgação de informações.

FBI IC3: Aumento de Roubo de Carga Habilitado por Ciberataques

O IC3 do FBI publicou um alerta sobre o aumento de roubo de carga habilitado por ciberataques. As perdas com roubo de carga nos EUA e Canadá no ano passado foram estimadas em quase US$ 725 milhões, um aumento de 60% sobre 2024. Os atacantes comprometem contas de corretores em load boards, postam cargas falsas e respondem a transportadoras com links maliciosos que assumem o controle dos sistemas.

Tech Corner: Libredtail, AI Pickling, e Mais

Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.

AI Pickling: O @sans_edu aborda como detectar desserialização insegura de objetos Python em pipelines de IA — um vetor de ataque emergente onde modelos treinados serializados podem carregar payloads maliciosos.Libredtail: O StormCast alerta sobre os perigos do Libredtail, uma ferramenta que pode ser abusada para evasão de detecção.Pacotes npm do SAP Comprometidos: Confirmado: pacotes npm relacionados ao SAP foram alvo de supply chain attack, conforme abordado em edições anteriores.Incomplete Patch de APT28: O patch incompleto do zero-day do APT28 no Roundcube levou ao CVE-2026-32202 — reforçando que correções parciais criam novas superfícies de ataque.

Análise baseada no SANS NewsBites Vol. 28, Num. 33 — 1º de maio de 2026. Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.